为什么可用区不能选择2个？ 所有不同规格的Kafka集群实例都是3个Zookeeper节点，并且是通过Zookeeper集群进行管理配置的，Kafka依赖Zookeeper，如果Zookeeper集群出现问题，Kafka将无法正常运行。 一个Zookeeper集群正常运行，至少需要2个Zookeeper节点正常运行。 假设允许可用区选择2个，可用区1有1个Zookeeper节点，可用区2有2个Zookeeper节点。如果可用区1故障，则集群实例能正常使用；如果可用区2故障，则集群不能正常使用。集群可用的场景只有50%，所以不支持选择2个可用区 如何选择Kafka实例的存储空间？ 存储空间，主要是指用于存储消息所需要的空间，选择时包括选择磁盘规格和大小，磁盘规格，当前支持“超高IO”和“高IO”两种类型。 假设业务存储数据保留天数内磁盘大小为100GB，则磁盘容量最少为100GB副本数 + 预留磁盘大小100GB。Kafka集群中，每个Kafka节点会使用33G的磁盘作为日志和Zookeeper数据的存储，因而实际可用存储会小于购买存储。 其中，副本数在创建Topic时可以选择，默认为3副本存储。 Kafka实例的超高IO和高IO如何选择？ 高IO：平均时延13ms，最大带宽150MB/s（读+写）。 超高IO：平均时延1ms，最大带宽350MB/s（读+写）。 建议选择超高IO，云硬盘服务端压力大场景，都不能达到最大带宽，但是超高IO可达到的带宽比高IO高很多。 如何选择Kafka实例存储容量阈值策略？ 当前支持以下两种策略： 生产受限策略 该策略场景下一旦磁盘使用达到容量阈值95%，会导致后续生产失败，但保留了当前磁盘中的数据，直至数据自然老化（Kafka原有的老化机制，数据默认保留3天）。该场景适用于对数据不能丢的业务场景，但是会导致生产业务失败。 自动删除策略 该策略场景下磁盘使用到达容量阈值之后，以一个segment文件为单位（1GB），会自动删除最早的segment文件，保证生产业务能继续正常运行。该场景优先保障业务不中断，数据可能会丢失。 以上两种策略的需要基于业务对数据和业务的可靠性来进行选择，只能作为极端场景下的一个种处理方式。建议业务购买时保证有充足的磁盘容量，避免磁盘的使用达到容量阈值。 Kafka实例的Topic数量是否有限制？ 在Kafka使用过程中，Topic数量本身无限制，但Topic的分区数之和有上限，当达到上限后，会导致用户无法继续创建Topic。

本章节主要介绍权限模型。 基于角色的权限控制 FusionInsight通过采用RBAC（rolebased access control，基于角色的权限控制）方式对大数据系统进行权限管理，将系统中各组件零散的权限管理功能集中呈现和管理，对普通用户屏蔽掉了内部的权限管理细节，对管理员简化了权限管理的操作方法，提升权限管理的易用性和用户体验。 FusionInsight权限模型由“用户－用户组－角色－权限”四类对象构成。 权限模型 权限 由组件侧定义，允许访问组件某个资源的能力。不同组件针对自己的资源，有不同的权限。 例如： −HDFS针对文件资源权限，有读、写、执行等权限。 −HBase针对表资源权限，有创建、读、写等权限。 角色 组件权限的一个集合，一个角色可以包含多个组件的多个权限，不同的角色也可以拥有同一个组件的同一个资源的权限。 用户组 用户的集合，当用户组关联某个或者多个角色后，该用户组内的用户就将拥有这些角色所定义的组件权限。 不同用户组可以关联同一个角色，一个用户组也可以不关联任何角色，该用户组原则上将不具有任何组件资源的权限。 说明 部分组件针对特定的默认用户组，系统默认赋予了部分权限。 用户 系统的访问者，每个用户的权限由该用户关联的用户组和角色所对应的权限构成，用户需要加入用户组或者关联角色来获得对应的权限。 基于策略的权限控制 Ranger组件通过PBAC（policybased access control，基于策略的权限控制）方式进行权限管理，可对HDFS、Hive、HBase等组件进行更加细粒度的数据访问控制。 说明 组件同时只支持一种权限控制机制，当组件启用Ranger权限控制策略后，通过FusionInsight Manager创建的角色中关于该组件的权限将失效（HDFS与Yarn的组件ACL规则仍将生效），用户需通过Ranger管理界面添加策略进行资源的赋权。 Ranger的权限模型由多条权限策略组成，权限策略主要由以下几方面组成： 资源 组件所提供的可由用户访问的对象，例如HDFS的文件或文件夹、Yarn中的队列、Hive中的数据库/表/列等。 用户 系统的访问者，每个用户的权限由该用户关联的策略来获得。LDAP中的用户、用户组、角色信息会周期性的同步至Ranger。 权限 策略中针对资源可配置各种访问条件，例如文件的读写，具体可以配置允许条件、拒绝条件以及例外条件等。

本节介绍了云容器引擎的产品优势。 大规模实践 电信IT系统大规模应用落地，集群部署规模近千套。 以应用为中心 结合微服务云应用平台帮助用户快速开发、构建、部署和运维分布式应用，提供一站式容器服务。 简单易用 一键创建 Kubernetes 集群，基于控制台轻松地实现 Kubernetes 集群的扩容和缩容。 安全稳定 支持高可用部署，提供集群备份恢复插件和安全容器能力，保障应用安全运行。

接口约束   1. 专属云内创建云主机均为按需类型云主机   2. 自动分配弹性IP（extIP"1"）时，需要填写弹性IP版本（ipVersion）与带宽大小（bandwidth）；使用已有的弹性IP（extIP"2"）时，需要填写弹性IP的版本（ipVersion）和对应弹性IP的ID（eipID或ipv6AddressID）   3. 挂载网卡时，子网与虚拟私有云存在对应关系，确保子网属于当前虚拟私有云 URI POST /v4/dec/batchcreateinstance 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 clientToken 是 String 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一，使用同一个clientToken值，其他请求参数相同时，则代表为同一个请求。保留时间为24小时 4cf2962de92c4c009181cfbb2218636c regionID 是 String 资源池ID，您可以查看地域和可用区来了解资源池 获取： 查 资源池列表查询 bb9fdb42056f11eda1610242ac110002 azName 是 String 可用区名称，您可以查看地域和可用区来了解可用区 获取： 查 资源池可用区查询 注：查询结果中zoneList内返回存在可用区名称(即多可用区，本字段填写实际可用区名称)，若查询结果中zoneList为空（即为单可用区，本字段填写default） cnhuadong1jsnj1Apublicctcloud instanceName 是 String 云主机名称，支持模式串（支持{R:数字}形式，且只支持使用1次，此处数字需为小于等于9799的正整数，不支持冒号“:”以及大括号“{}”两类字符单独存在或其它组合方式）。不同操作系统下，云主机名称规则有差异。 Windows：长度为215个字符（当创建两台及两台以上的云主机时名称长度为210个字符），允许使用大小写字母、数字或连字符（）。不能以连字符（）开头或结尾，不能连续使用连字符（），也不能仅使用数字； 其他操作系统：长度为264字符（当创建两台及两台以上的云主机时名称长度为259个字符），允许使用点（.）分隔字符成多段，每段允许使用大小写字母、数字或连字符（），但不能连续使用点号（.）或连字符（），不能以点号（.）或连字符（）开头或结尾，也不能仅使用数字 ecm3300 displayName 是 String 云主机显示名称，支持模式串（支持{R:数字}形式，且只支持使用1次，此处数字需为小于等于9799的正整数，不支持冒号“:”以及大括号”{}”两类字符单独存在或其它组合方式），长度为263字符。 ecm3300 flavorID 是 String 云主机规格ID，您可以查看规格说明了解弹性云主机的选型基本信息 获取： 查 查询一个或多个云主机规格资源 注：同一规格名称在不同资源池不同可用区的规格ID是不同的，调用前需确认规格ID是否归属当前资源池，多可用区资源池确认是否归属当前可用区 0824679adc8647dca0d39c330928f4f6 decTypeID 否 String 专属云存储ID 32af90b5664c41c4bc590f88b39eebc2 imageType 是 Integer 镜像类型，取值范围： 0（私有镜像）， 1（公有镜像）， 2（共享镜像）， 3（安全镜像）， 4（甄选镜像） 您可以查看镜像概述查看关于云主机镜像介绍 1 imageID 是 String 镜像ID，您可以查看镜像概述来了解云主机镜像 获取： 查 查询可以使用的镜像资源 创 创建私有镜像（云主机系统盘） 创 创建私有镜像（云主机数据盘） 注：同一镜像名称在不同资源池的镜像ID是不同的，调用前需确认镜像ID是否归属当前资源池 9d9e89988ed543b299cb322f2b8cf6fa bootDiskType 是 String 系统盘类型，取值范围： SATA（普通IO）， SAS（高IO）， SSD（超高IO）， SSDgenric（通用型SSD）， FASTSSD（极速型SSD），您可以查看磁盘类型及性能介绍来了解磁盘类型及其对应性能指标 SATA bootDiskSize 是 Integer 系统盘大小单位为GiB，取值范围：[40, 32768]，注：创建云主机过程中会存在单位转换，因此该参数只能传入整型，如果填写小数值则会被取整，影响到涉及计费，注：创建云主机过程中会存在单位转换，因此该参数只能传入整型，如果填写小数值则会被取整，影响到涉及计费 40 vpcID 是 String 虚拟私有云ID，您可以查看产品定义虚拟私有云来了解虚拟私有云 获取： 查 查询VPC列表 创 创建VPC 注：在多可用区类型资源池下，vpcID通常为“vpc”开头，非多可用区类型资源池vpcID为uuid格式 4797e8a1722d49969362458001813e41 networkCardList 是 Array of Objects 网卡信息列表，您可以查看弹性网卡概述了解弹性网卡相关信息 networkCardList extIP 是 String 是否使用弹性公网IP，取值范围： 0（不使用）， 1（自动分配）， 2（使用已有）。 注：自动分配弹性公网，默认分配IPv4弹性公网，需填写带宽大小，如需ipv6请填写弹性IP版本（即参数extIP"1"时，需填写参数bandwidth、ipVersion，ipVersion含默认值ipv4）； 使用已有弹性公网，请填写弹性公网IP的ID，默认为ipv4版本，如使用已有ipv6，请填写弹性ip版本（即参数extIP"2"时，需填写eipID或ipv6AddressID，同时ipv6情况下请填写ipVersion） 2 projectID 否 String 企业项目ID，企业项目管理服务提供统一的云资源按企业项目管理，以及企业项目内的资源管理，成员管理。您可以通过查看创建企业项目了解如何创建企业项目 注：默认值为"0" 0 secGroupList 否 Array of Strings 安全组ID列表，您可以查看安全组概述了解安全组相关信息 获取： 查 查询用户安全组列表 创 创建安全组 注：在多可用区类型资源池下，安全组ID通常以“sg”开头，非多可用区类型资源池安全组ID为uuid格式；默认使用默认安全组，无默认安全组情况下请填写该参数 ["202ca2d2273a5995873b03731212c8e4"] dataDiskList 否 Array of Objects 数据盘信息列表，注：同一云主机下最多可挂载8块数据盘 dataDiskList ipVersion 否 String 弹性IP版本，取值范围： ipv4（v4地址）， ipv6（v6地址）， 不指定默认为ipv4。注：请先确认该资源池是否支持ipv6 ipv4 bandwidth 否 Integer 带宽大小，单位为Mbit/s，取值范围：[1, 2000] 100 ipv6AddressID 否 String 弹性公网IPv6的ID，注：多可用区类资源池暂不支持；填写该参数时请填写ipVersion为ipv6 eip5sdasd2gfh eipID 否 String 弹性公网IP的ID，您可以查看产品定义弹性IP来了解弹性公网IP 获取： 查 查询指定地域已创建的弹性 IP 创 创建弹性 IP eip9jpeyl0frh affinityGroupID 否 String 云主机组ID，获取： 查 查询云主机组列表或者详情 创 创建云主机组 259b0c37104441d8989e keyPairID 否 String 密钥对ID，您可以查看密钥对来了解密钥对相关内容 获取： 查 查询一个或多个密钥对 创 创建一对SSH密钥对 c57d06268a82407ba910b454907778c3 userPassword 否 String 用户密码，满足以下规则： 长度在8～30个字符； 必须包含大写字母、小写字母、数字以及特殊符号中的三项； 特殊符号可选：()~!@

本文介绍弹性IP适用的应用场景。 公网出口 场景说明 个人或企业的云上业务需要面向公网提供服务，例如门户网站、视频直播、游戏等，需要保证业务稳定可靠提供公网能力。 产品优势 天翼云弹性IP即开即用，分钟级交付，快速帮助业务实现公网访问； 提供按需计费和包周期计费等多种计费模式，既兼顾成本，又能提供可靠性能； 通过绑定负载均衡方式将公网业务分摊到多台云主机，提升业务处理能力； 搭配使用 NAT网关、弹性负载均衡、弹性云主机 公网出口带宽高效管理 场景说明 个人或企业的云上业务进行公网访问时，需要具备公网带宽管控能力以及较高的公网带宽使用效率。 产品优势 多个弹性IP可以加入共享带宽，降低带宽使用成本，提高运营效率。结合可视化运维，提升公网带宽管控能力。 搭配使用 共享带宽、弹性云主机、弹性负载均衡 公网出口高可用 场景说明 同城双中心或两地三中心，业务和网络需要具备主备或多活的能力。 产品优势 弹性IP支持跨可用区容灾部署，绑定云上资源后，可实现公网出口的主备或多活，帮助客户快速构建高可用网络架构。

本文主要介绍云日志服务的使用建议。 云主机应用日志场景 场景描述 若您的应用部署在天翼云主机上，您可使用云日志服务进行日志的统一采集。 使用建议 日志采集方式：采用采集器方式采集日志，您需要在云主机上安装采集器，通过在云日志服务控制台创建采集规则，将云主机ECS待采集日志的路径配置到日志单元中，采集器将按照采集规则进行日志采集。采集完成后，您可以在云日志服务控制台实时查询、分析日志。具体操作请参考接入云主机文本日志。 日志项目规划建议：您可以将同一个应用系统的下日志放在一个日志项目中，可以使用应用系统的名称作为日志项目的名称，方便进行管理。 日志单元规划建议： 如果您的日志原文无固定的规则格式，无法进行结构化解析，可以将同类组件的日志采集到同一个日志单元中，例如java组件、php组件、python组件等，更方便您进行多个组件日志的管理；如果您的组件数量比较少（例如小于20个），您可以将每个组件的日志采集到不同的日志单元中以分别进行管理。 如果您的日志有固定格式，可进行结构化解析（如Nginx日志），建议您将有相同格式的日志采集到同一个日志单元，方便您后续统一使用SQL统计分析功能，实现可视化图表分析。

什么是 OOS Identity and Access Management (IAM)？ 统一身份认证（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份管理与访问控制服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，实现[谁] [在什么条件下] [可以/不可以] [对哪些资源] [做什么]，方便资源管理。 如何使用IAM？ 您可以通过IAM API、OOS控制台（IAM模块）创建和管理用户、组和权限。除了使用JSON创建策略，您还可以使用可视化编辑器创建策略。IAM API参见访问控制（IAM）API，控制台使用IAM详见访问控制。 AccessKey包括哪些信息？ AccessKey包括AccessKeyID和SecretAccessKey： AccessKeyID：用于标识用户。 SecretAccessKey：用于验证用户的密钥，SecretAccessKey 必须保密。 创建AccessKey后，可以查看哪些信息？ 在对象存储网络创建AccessKey后，您可以再次查看AccessKeyID、状态、最后使用时间和创建时间等基本信息。控制台查询AccessKey信息详见密钥。 在其他区域创建AccessKey后，您可以查看AccessKeyID、状态、和创建时间等基本信息。 创建AccessKey后，能否再次查看AccessKeyID？ 可以。可以通过控制台查看，详见密钥。 创建AccessKey后，能否再次查看SecretAccessKey？ 根据不同的地域，情况不同： 在对象存储网络创建AccessKey时，SecretAccessKey只显示一次，会提示下载csv文件本地保存。 在其他区域创建AccessKey后，AccessSecretKey可以再次显示。

分类和映射 分类和映射是指对云服务告警进行类型匹配和字段映射。 安全编排 安全编排（Security Orchestration）是将企业和组织在安全运营过程中涉及的不同系统或者一个系统内部不同组件的安全功能通过可编程接口（API）封装后形成的安全能力（即应用）和人工检查点按照一定的逻辑关系组合到一起，以完成某个特定的安全运营过程和规程。 安全编排是将安全运营相关的工具/技术、流程和人员等各种能力整合到一起的一种协同工作方式。 剧本 剧本（Playbook）是安全运营流程在安全编排系统中的形式化表述，它是将安全运营流程和规程转换为机读工作流的过程。 剧本体现了安全防护的逻辑，指示如何调度安全能力。剧本具有灵活性和可扩展性，可以根据实际需求进行修改和扩展，以适应不断变化的安全威胁和业务需求。 流程 流程（Workflow）是将安全运营相关的工具、技术、流程和人员等各种能力整合到一起，形成一种协同工作方式。它由多个相连接的组件构成，流程定义完成后可被外部触发，例如，当新工单产生时自动触发自动审核工单流程。您可以通过可视化流程编辑画布，定义每个节点的组件动作。 流程是剧本触发时响应的方式，它负责将剧本中的指令和规程转化为具体的操作和执行步骤。

子流程 说明 新增工作空间，用于资源隔离和控制。 配置需要接入的数据。 态势感知（专业版）支持集成存储、管理与监管、安全等多种云产品的日志数据。集成后，可以检索并分析所有收集到的日志。 （可选） 创建用于存储收集日志数据的数据空间。 通过控制台接入的数据，系统将创建默认数据空间，无需再进行创建。 （可选） 创建用于日志数据的采集、存储和查询的数据管道。 通过控制台接入的数据，系统将创建默认数据管道，无需再进行创建。 配置索引条件，缩小查询范围。 对接入的数据进行查询、分析。 支持将原始日志或查询分析后的日志下载到本地。 当您执行了查询分析语句后，态势感知（专业版）支持通过图表统计的形式对查询和分析的结果进行可视化展示。 目前支持表格、折线图、柱状图和饼图方式进行展示。

本章节主要介绍如何授权安全通信。 MRS集群通过管理控制台为用户发放、管理和使用大数据组件，大数据组件部署在用户的VPC内部，MRS管理控制台需要直接访问部署在用户VPC内的大数据组件时需要开通相应的安全组规则，而开通相应的安全组规则需要获取用户授权，此授权过程称为通信安全授权。 若不开启通信安全授权，MRS将无法创建集群。集群创建成功后若关闭通信将导致集群状态为“网络通道未授权”且如下功能将受到影响： 大数据组件安装、集群扩容、集群缩容、升级Master节点规格功能不可用。 集群的运行状态、告警、事件无法监控。 集群详情页的节点管理、组件管理、告警管理、文件管理、作业管理、补丁管理、租户管理功能不可用。 Manager页面、各组件的Web站点无法访问。 再次开启通信安全授权，集群状态会恢复为“运行中”，以上功能将恢复为可用。具体操作请参见下方 为关闭安全通信的集群开启安全通信。 当集群中授权的安全组规则不足以支撑MRS集群管理控制台为用户发放、管理和使用大数据组件的操作时，“通信安全授权”右侧出现的提示，请单击“一键修复”按钮进行修复，具体请参考下方 一键修复。 创建集群时开启安全通信 1.登录MRS管理控制台。 2.单击“创建集群”，进入创建集群页面。 3.在创建集群页面，选择“快速创建”或“自定义创建”。 4.参考快速创建集群或创建自定义集群配置集群信息。 5.在“通信安全授权”栏，勾选“确认授权”。 6.单击“立即创建”创建集群。 当集群开启Kerberos认证时，需要确认是否需要开启Kerberos认证，若确认开启请单击“继续”，若无需开启Kerberos认证请单击“返回”关闭Kerberos认证后再创建集群。

Tuning高级参数 说明 以下Tuning高级参数不建议您随意调整，若业务确有需要，请仔细阅读参数说明，避免影响性能。 读取预加载相关参数 readahead 默认值：5120 用途：默认情况下，每次读请求预加载的数据大小（KB） 合法值：非负整数 smallreadcount 默认值：4 用途：判断单个文件句柄内读取是否随机，需要检查的最后若干次读取请求的数量 合法值：非负整数 smallreadcutoff 默认值：128 用途：触发小规模预加载的最后若干次读取请求的最大平均大小（KB） 合法值：非负整数 readaheadsmall 默认值：128 用途：当检测到小的随机读请求时，每次读请求预加载的小规模数据大小（KB） 合法值：非负整数 largereadcutoff 默认值：20480 用途：触发大规模预加载的连续读取请求的大小（KB） 合法值：非负整数 readaheadlarge 默认值：102400 用途：当检测到长的线性读请求时，每次读请求预加载的大规模数据大小（KB） 合法值：非负整数 readaheadparallel 默认值：20480 用途：触发大规模预加载后，单个大规模读请求被拆分得到的并行读请求数据大小（KB） 合法值：非负整数 readmerge 默认值：512 用途：两次读请求被合并为一个读请求所需要满足的最大间距大小（KB） 合法值：非负整数 注意 为了提升读取性能，读取预加载数据大小被分为三档，需要严格满足：readaheadsmall < readahead < readaheadlarge

本文为您介绍如何通过mysqldump将用户自建数据库数据迁移到天翼云关系数据库MySQL。 前期准备 准备能够远程连接关系数据库MySQL的机器。 通过弹性云主机连接关系数据库MySQL，需要创建一台弹性云主机。 通过公网地址连接关系数据库MySQL，需要将关系数据库MySQL绑定公网地址。 关系数据库MySQL实例设置白名单。 在准备的弹性云主机或其他可访问关系数据库MySQL的设备上，安装MySQL客户端。 创建关系数据库MySQL账号。 说明 弹性云主机或可访问关系数据库MySQL的设备需要安装和关系数据库MySQL相同版本的数据库客户端。（如果不相同则只能够向后兼容，例如用5.7版本的mysqldump来导出5.5版本的数据库数据） 适用场景 mysqldump迁移复杂，且需要停止源数据库的应用程序，建议数据量小的场景下使用。 数据量大的场景下建议优先使用DTS迁移数据。 导出数据 需要先对源数据库进行导出，才能将其迁移到关系数据库MySQL。 1. 登录源数据库。 2. 使用mysqldump导出自建数据库的表结构和数据，命令如下： 说明 数据库迁移为离线迁移，您需要停止使用源数据库的应用程序。 下文中的自建数据库用户需要具备相关的操作权限。 若使用的mysqldump低于5.6版本，需要去掉“setgtidpurgedOFF”。 bash mysqldump h u p P databases opt defaultcharactersetutf8 hexblob singletransaction setgtidpurgedOFF skiptriggers skipevents skiproutines > /tmp/ data.sql 示例： bash mysqldump h xxx u root p P databases test opt defaultcharactersetutf8 hexblob singletransaction setgtidpurgedOFF skiptriggers skipevents skiproutines > /tmp/testdata.sql 3. 使用mysqldump导出自建数据库的触发器、事件、存储过程和函数，命令如下： 说明 如果源数据库中没有使用触发器、事件、存储过程和函数，可跳过此步骤。 bash mysqldump h u p P database opt defaultcharactersetutf8 hexblob singletransaction setgtidpurgedOFF nocreateinfo nodata routines events sed e 's/DEFINER[ ][ ][^]//' e 's/DEFINER[ ].FUNCTION/FUNCTION/' e 's/DEFINER[ ].PROCEDURE/PROCEDURE/' e 's/DEFINER[ ].TRIGGER/TRIGGER/' e 's/DEFINER[ ].EVENT/EVENT/' > /tmp/ trigger.sql 示例： bash mysqldump h xxx u root p P databases test opt defaultcharactersetutf8 hexblob singletransaction setgtidpurgedOFF nocreateinfo nodata routines events sed e 's/DEFINER[ ][ ][^]//' e 's/DEFINER[ ].FUNCTION/FUNCTION/' e 's/DEFINER[ ].PROCEDURE/PROCEDURE/' e 's/DEFINER[ ].TRIGGER/TRIGGER/' e 's/DEFINER[ ].EVENT/EVENT/' > /tmp/testtrigger.sql

本章节主要介绍ALM13001 ZooKeeper可用连接数不足。 告警解释 平滑次数为1，ZooKeeper可用连接数小于或等于阈值时，告警恢复；平滑次数大于1，ZooKeeper可用连接数小于或等于阈值的90%时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 13001 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 ZooKeeper可用连接数不足，当连接率超过100%时无法处理外部连接。 可能原因 该节点ZooKeeper连接量过大，超过阈值。某些连接进程存在连接泄露，或配置的最大连接数不符合实际使用场景。 处理步骤 检查连接状态 1. 在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，单击告警“ZooKeeper可用连接数不足”所在行的下拉菜单，在定位信息中确认告警上报的主机名所在的节点IP地址。 2. 获取ZooKeeper进程pid。以root用户登录到告警上报的节点，执行命令： pgrep f proczookeeper 。 3. 是否正常获取pid。 是，执行步骤 4。 否，执行步骤 15。 4. 获取所有与当前ZooKeeper实例连接的IP及连接数量，取连接数最多的前十个进行检查。根据获取到的pid值，执行命令 lsof igrep $pid awk '{print $9}' cut d : f 2 cut d > f 2 awk '{a[$1]++} END {for(i in a){print i,a[i] "sort r g k 2"}}' head 10 （$pid 为上一步获取的 pid 值） 5. 获取节点IP与连接数是否成功。 是，执行步骤 6。 否，执行步骤 15。 6. 获取连接进程的端口号。根据获取到的pid与IP值，执行命令 lsof igrep $pid awk '{print $9}'cut d > f 2 grep $IP cut d : f 2 （pid与IP为上一步获取的pid值与IP值） 7. 获取端口号port成功。 是，执行步骤 8。 否，执行步骤 15。 8. 获取连接进程的进程号。依次登录到各IP，根据获取到的port号，执行命令 lsof igrep port 。（$port为上一步获取端口号） 9. 获取进程号成功。 是，执行步骤10。 否，执行步骤 15。 10. 根据获取到的进程号，查看进程是否存在连接泄露。 是，执行步骤11。 否，执行步骤 12。 11. 将存在连接泄露的进程关掉，观察界面上告警是否消除。 是，处理完毕。 否，执行步骤 12。 12. 在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 >ZooKeeper > 配置 > 全部配置 > quorumpeer > 性能”中，将“maxCnxns”的值根据实际情况调大。 13. 保存配置，并重启ZooKeeper服务。 14. 界面上告警是否消除。 是，处理完毕。 否，执行步骤 15。

产品服务优势 自动开通 云监控服务无需购买和开通，在云资源创建成功后免费自动开通，您可直接到云监控控制台查看已购产品运行状态并设置告警规则。 全面监控 分钟级采集涵盖所有指标数据，进程级细粒度的指标变化感知能力，及时有效的云产品监控体验，通知随时触发随时响应。 灵活告警 提供自定义告警规则和告警通知功能，支持对多个云资源同时添加告警。告警规则支持随时修改，支持对告警规则进行启用、停止、删除等灵活操作。 实时通知 通过在告警规则中开启消息通知服务，当云服务的状态变化触发告警规则设置的阈值时，系统通过邮件实时通知用户，让用户能够实时掌握云资源运行状态变化。 历史可查 提供历史查询服务，用户可在控制台一键查询过去云监控产品的监控数据、告警历史数据。监控和告警历史数据均支持系统固定时长和自定义时长方式查看，历史记录回溯时间可长达一个月。 数据可视化 提供自定义监控面板能力，客户可将多个资源集中进行展示；通过多实例、多指标对比分析能力，满足客户各种场景下的监控数据的可视化需求。 产品功能视图 云监控功能资源池生效视图如下： 一级功能 二级功能 帮助文档链接 生效资源池范围 备注 监控概览 查看监控概览 部分资源池 监控面板 查看监控面板 全部资源池 资源分组 使用资源分组 部分资源池 主机监控 使用主机监控 全部资源池 云服务监控 使用云服务监控 全部资源池 云服务监控下特定产品监控需单独配置开通，如弹性文件监控、对象存储监控等 事件监控 系统事件 使用事件监控 部分资源池 网络分析与监控 站点监控 使用站点监控 部分资源池 当前为免费公测阶段，公测结束后会进行计费。具体计费方式关注云监控服务 网络分析与监控 一次性拨测工具 使用一次性拨测工具 全部资源池 告警服务 告警记录 查看告警记录 全部资源池 告警服务 告警模板 使用告警模板 全部资源池 告警服务 告警规则 使用告警规则 全部资源池 告警服务 告警联系人/组 使用告警联系人/组 全部资源池 告警服务 通知模板 使用通知模板 部分资源池 告警服务 告警黑名单 使用告警黑名单 部分资源池 告警服务 一键告警 使用一键告警 全部资源池 告警服务 通知记录 使用通知记录 全部资源池 智能巡检 使用智能巡检 部分资源池 任务中心 使用任务中心 全部资源池 数据订阅 使用数据订阅 部分资源池 当前为免费公测阶段，公测结束后会进行计费。具体计费方式关注云监控服务 套餐管理 告警服务计费总览 部分资源池 短信资源包已支持全部资源池，语音套餐包仅支持部分资源池 说明 "全部资源池"即为开通云监控服务的所有公有云资源池。

本文为您介绍创建Linux操作系统的GPU计算加速型云主机时,自动安装GPU驱动的详细操作指导。 准备工作 创建账号，以及完善账号信息。本教程创建的是按量付费实例。开通按量付费GPU云主机资源时，您的天翼云账户余额（即现金余额）不得小于100.00元人民币。充值方式请参见费用中心>账户充值。 可选：在创建弹性云主机时，如果您的账号在本地域没有创建VPC，天翼云会提供一个默认的VPC，如果您不想使用默认vpc，可以在本地域创建vpc。具体操作，请参见虚拟私有云>创建VPC、子网搭建私有网络。 操作步骤 步骤1：进入创建云主机页面 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 单击“服务列表>弹性云主机”。 3. 单击“创建云主机”，系统进入创建页。 步骤2：基础配置 1. 选择“计费模式”。 包年包月：一种预付费模式，即先付费再使用。一般适用于固定业务应用，例如网站服务。需要先支付包年包月资源账单，才能开始使用包年包月资源。 按量付费：一种后付费模式，即先使用再付费。一般适用于有业务变化的应用，例如临时扩展、临时测试。可以先开通并使用按量付费资源，系统在每个结算周期生成账单并从账户中扣除相应费用。 2. 选择“地域和可用区”。 3. 设置“实例名称”，长度为 2~63个字符。 4. 设置“主机名称”，长度为 2～15 个字符，允许使用大小写字母、数字或连字符（）。不能以连字符（）开头或结尾，不能连续使用连字符（），也不能仅使用数字。 5. 选择分类为“GPU加速/AI加速型架构”。 6. 根据自身需求选择规格族及具体规格。 7. 预装驱动，如下两种方式可以预装驱动： 1. 直接选择预装驱动的公共镜像，如CTyunOS 2.0.1 64 位 预装NVIDIA Tesla 550.90.07驱动(40GB)、Ubuntu Server 22.04 64 位预装 NVIDIA Tesla 550.90.07 驱动(40GB)等名称中有“预装NVIDIA Tesla 550.90.07驱动”字样的镜像。 2. 选择目标的Linux的公共镜像，勾选“安装GPU驱动”，选择对应的CUDA、Driver、CUDNN版本。 注意 目前仅部分资源池支持勾选自动安装GPU驱动，若目标资源池不支持该功能，且提供的预装驱动镜像无法满足您的要求，请您参见安装Tesla驱动，手动安装GPU驱动。 8. 设置“存储”。 磁盘包括系统盘和数据盘。您可以为云主机添加多块数据盘，系统盘大小目前默认为40GB。

本节主要介绍数据恢复。 恢复方案 GeminiDB Influx支持数据恢复，您可以根据业务需要选择合适的恢复方法。 表1 恢复方案 恢复方案 使用场景 恢复备份到新实例 使用已有的备份文件恢复实例数据到新建实例。 恢复备份到新实例 操作场景 GeminiDB Influx支持使用已有的自动备份或手动备份恢复实例数据到新建实例，恢复后的数据与该备份生成时的实例数据一致。 选择通过备份文件恢复到实例上，会从OBS备份空间中将该备份文件下载到实例上进行全量恢复，恢复时长和实例的数据量有关。 使用须知 恢复时，新实例节点数应大于等于原实例的节点数。 恢复时，新实例的空间大小必须大于或等于原实例的空间大小。 当前不支持增量备份，PITR功能。 当前不支持恢复到当前实例。 恢复时，可以进行规格缩容，但是缩容的内存规格大小应大于等于备份时实际内存使用大小。 备份恢复到新实例使用原实例的参数组恢复，保证恢复出来的参数跟原来实例的一致。 单节点暂不支持自动备份恢复实例数据到新建实例。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 选择目标实例，进行恢复备份。 方法一 在“实例管理”页面，单击目标实例的名称。 在左侧导航栏中选择“备份恢复”页签，单击目标备份对应操作列中的“恢复”。 图1 备份恢复 方法二 在“备份管理”页面，单击目标备份对应操作列中的“恢复”。 图2 备份管理 4. 在“恢复实例”弹出框中确认当前实例信息及恢复方式，单击“确定”，跳转到“恢复到新数据库实例”的服务选型页面。 图3 恢复到新实例 新实例的接口类型和版本，默认与原实例相同，不可修改。 系统会根据所选择的备份文件大小自动去计算恢复新实例所需的最小存储空间，用户选择容量大小必须为整数，可根据不同的性能规格选择对应的存储空间。 数据库密码需重新设置。 其他参数，用户可修改，具体请参见购买GeminiDB Influx实例。 5. 查看恢复结果。 为用户重新创建一个和该备份数据相同的实例。可看到实例由“创建中”变为“正常”，说明恢复成功。 创建或恢复完成后，系统会自动执行一次全量备份。 恢复成功的新实例是一个独立的实例，与原有实例没有关联。

“安全概览”页面查看资产安全总览情况，并进行相关操作。 SA的“安全概览”页面实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。在“安全概览”查看安全概览信息和相关一键操作，实现云上安全态势一览和风险统一管控。 您可以在“安全概览”页面查看您的资产安全总览情况，并进行相关操作。“安全概览”分为以下几个板块： 安全评分 安全监控 安全趋势 安全评分 “安全评分”板块根据不同版本的威胁检测能力，评估整体资产安全健康得分，可快速了解未处理风险对资产的整体威胁状况，如下图。 分值范围为0～100，分值越大表示风险越小，资产更安全。 分值环形图不同颜色表示不同威胁等级。例如，黄色对应“中危”。 单击“立即处理”，系统右侧弹出“安全风险处理”页面，您可根据该页面的提示，参考对应的帮助文档或直接对风险进行处理。 安全风险处理页面中包含所有需要您尽快处理的安全风险和威胁，分为“威胁告警”、“漏洞”、“合规检查”三大类别。 “安全风险处理”页面中显示的数据为最近/最新检测后的数据结果，“检测结果”页面（单击“前往处理”，进入该页面）显示的是所有检测时间的各类数据详情，因此，安全风险处理页面的数据总数≤检测结果页面的数据总数。 处理安全风险 ： 1. 在“安全评分”栏中，单击“立即处理”，系统右侧弹出“安全风险处理”页面。 2. 在“安全风险处理”页面中，单击“前往处理”，进入检测结果页面。 3. 选择一个或多个“未处理”状态的结果，单击“忽略”或“标记为线下处理”，对不同检测结果批量执行相应的处理操作。 忽略：如果确认该检测结果不会造成危害，在“忽略风险项”窗口记录“处理人”、“忽略理由”，可标记为“已忽略”状态。 标记为线下处理：如果该检测结果已在线下处理，在“标记为线下处理”窗口记录“处理人”、“处理时间”和“处理结果”，可标记为“已线下处理”状态。 资产风险修复，并手动刷新告警事件状态后，安全评分实时更新。资产安全风险修复后，也可以直接单击“重新检测”，重新检测资产并进行评分。 说明 由于检测需要一定的时间，请您在单击“重新检测”按钮5分钟后，再刷新页面，查看最新检测的安全评分。 资产安全风险修复后，为降低安全评分的风险等级，需手动忽略或处理告警事件，刷新告警列表中告警事件状态。 安全评分显示为历史扫描结果，非实时数据，如需获取最新数据及评分，可单击“重新检测”，获取最近的数据。

配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【缓存配置】。 5. 在【缓存过期时间】模块，单击【增加规则】，弹出的对话框中，添加缓存时间规则。 （1）选择【类型】，如后缀名、目录、首页、全部文件、全路径文件，并配置相应的内容。 后缀名：指文件后缀名，可单击选择后缀名，如jpg，png。若后缀名不在选择清单内，可在【其他文件】框输入其他后缀名。 目录：指具体目录，例如值为：/a，表示目录前缀为/a/的文件。 首页：指域名首页，值固定为/。 全部文件：指对应域名下的所有文件，值固定为/。 全路径文件：指对应URI的文件，例如值为：/a/b.js，则表示请求url中位于/a/目录下的b.js文件的缓存规则（无论是否携带问号后参数）。 （2）选择【缓存规则】，默认为强制缓存。 如选择强制缓存，则即使源站返回CacheControl：nocache/nostore/private等不缓存头或类似CacheControl：maxagen (n>0) 的缓存头时，CDN节点仍将按照预设的规则及时间缓存文件。 注意 如选择强制缓存，且过期时间设置为0，则无论源站如何响应，CDN节点均不缓存该文件。 如选择优先遵循源站，则源站如果返回CacheControl：nocache/nostore/private等不缓存头或CacheControl：maxagen (n>0)、Expires响应头时，优先按照源站响应头对应的缓存时间生效。 如选择不缓存，则无论源站返回任何缓存相关响应头，CDN节点均不缓存。 （3）选择【过期时间】单位，如秒、分钟、小时、天。再填写对应的过期时间。 （4）【缓存参数】默认忽略参数，如需要带问号后参数缓存，请选择不忽略参数。 注意 对于可缓存的文件，CDN节点通常会设置缓存key（缓存key为文件在CDN节点上缓存的唯一ID）。默认情况下，CDN节点会将问号后参数去掉的内容作为缓存key，以提升缓存命中率，降低回源量。如果原始URL中携带问号后参数，且参数不同时源站指向不同文件，则选择不忽略参数，避免缓存错误。 （5）填写【权重】。权重即优先级，支持自定义，数字越大则越优先生效。如果同个URL满足不同的缓存规则设置，例如该URL既属于某个文件后缀，又属于某个目录下，此时具体遵循哪条缓存规则，取决于二者的权重设置，最终按权重数字大的生效。 6. 单击【确定】，完成配置。

名称 描述 说明 CMS 集群管理模块（Cluster Manager）。管理和监控分布式系统中各个功能单元和物理资源的运行情况，确保整个系统的稳定运行。 CMS为该模块中的CM Server。 CM由CM Agent、OM Monitor和CM Server组成。 CM Agent：负责监控所在主机上主备GTM、CN、主备DN的运行状态并将状态上报给CM Server。同时负责执行CM Server下发的仲裁指令。集群的每台主机上均有CM Agent进程。 OM Monitor：看护CM Agent的定时任务，其唯一的任务是在CM Agent停止的情况下将CM Agent重启。如果CM Agent重启不了，则整个主机不可用，需要人工干预。 CM Agent重启的情况很少发生，如果出现可能是因为系统资源不够用导致无法启动新进程。 CM Server：根据CM Agent上报的实例状态判定当前状态是否正常，是否需要修复，并下发指令给CM Agent执行。 DWS提供了CM Server的主备实例方案，以保证集群管理系统本身的高可用性。正常情况下，CM Agent连接主CM Server，在主CM Server发生故障的情况下，备CM Server会主动升为主CM Server，避免出现CM Server单点故障。 GTM 全局事务管理器（Global Transaction Manager），负责生成和维护全局事务ID、事务快照、时间戳等全局唯一的信息。 整个集群只有一组GTM：主、备GTM各一个。 CN 协调节点（Coordinator）。负责接收来自应用的访问请求，并向客户端返回执行结果；负责分解任务，并调度任务分片在各DN上并行执行。 集群中，CN有多个并且CN的角色是对等的（执行DML语句时连接到任何一个CN都可以得到一致的结果）。只需要在CN和应用程序之间增加一个负载均衡器，使得CN对应用是透明的。CN故障时，由负载均衡自动路由连接到另外一个CN。 当前分布式事务框架下无法避免CN之间的互连，为了减少GTM上线程过多导致负载过大，建议CN配置数目≤10个。 CCN 中心协调节点（Central Coordinator）。 DWS通过CCN（Central Coordinator）负责集群内的资源全局负载控制，以实现自适应的动态负载管理。CM在第一次集群启动时，通过集群部署形式，选择编号最小的CN作为CCN。若CCN故障之后，由CM选择新的CCN进行替换。 DN 数据节点（Datanode）。负责存储业务数据（支持行存、列存、混合存储）、执行数据查询任务以及向CN返回执行结果。 在集群中，DN有多个。每个DN存储了一部分数据。如果DN无高可用方案，则故障时会导致该实例上的数据无法访问。

创建文件系统并挂载 1. 执行命令 mkfs t ext4 /dev/vdb1，为新建的分区创建文件系统，本示例中创建的是ext4格式的文件系统，请根据您的业务需求选择合适的文件系统，回显如图： 说明 对于容量较大的云硬盘，mkfs命令可能执行时间较长，如需要缩短命令执行时间，您可以为mkfs命令添加如下参数： ext2、ext3、ext4文件系统：添加E nodiscard参数 xfs文件系统：添加K参数 格式化需要等待一段时间，不要退出，直到显示格式化完成，容量越大，格式化时间越长。 2. 执行命令 mkdir /mnt/sdc，新建挂载点。本示例中“/mnt/sdc”为挂载点。 3. 执行命令 mount /dev/vdb1 /mnt/sdc，将新建分区挂载到新建的挂载点下，回显如下图所示： 4. 执行命令 df TH，查看挂载结果。回显如下： 表示新建分区“/dev/vdb1”已挂载至“/mnt/sdc”。 设置开机自动挂载磁盘 如果您需要在云主机系统启动时自动挂载磁盘，不能采用在/etc/fstab直接指定 /dev/vdb1的方法，因为云中设备的顺序编码在关闭或者开启云主机过程中可能发生改变，例如/dev/vdb1可能会变成/dev/vdb2。推荐使用UUID来配置自动挂载数据盘。磁盘的UUID（Universally Unique Identifier）是Linux系统为磁盘分区提供的唯一的标识字符串。 1. 执行命令 blkid /dev/vdb1，查询磁盘分区的UUID。回显如下： 2. 执行命令 vi /etc/fstab，使用VI编辑器打开“fstab”文件。按“i”，进入编辑模式，将光标移至文件末尾，按“Enter”，添加如下内容，其中UUID处的内容请输入您在上一步中查询到的UUID，操作如图所示： 3. 按“ESC”后，输入“ :wq ”，按“Enter”。保存设置并退出编辑器。 4. 验证自动挂载功能，首先卸载已挂载的分区，执行命令 umount /dev/vdb1，操作如图所示： 5. 执行命令 mount a来重新加载/etc/fstab文件的所有内容，操作如图所示： 6. 执行命令 mount grep /mnt/sdc来查询文件系统挂载，操作及回显如图所示： 如果出现图中回显信息，说明自动挂载设置成功。

本节为您介绍物理机服务常见的操作系统类问题。 用户能否自行升级操作系统？ 不可以，用户自行升级可能导致插件和硬件驱动无法使用，导致物理机运行异常。 如果您需要对操作系统进行升级或打补丁，请提交工单或通过咨询热线4008109889进行详细咨询。 物理机能否更换操作系统？ 可以。 普通裸金属支持更换Windows、Linux、CTyunOS等操作系统，弹性裸金属支持更换Linux、CTyunOS等操作系统。创建物理机之后，可通过重装系统来实现操作系统的更换。 物理机操作系统是否有图形界面？ 当前提供的操作系统是命令行界面。 如果需要，用户可以根据不同的操作系统启动对应的图形界面，进行对应系统管理。 物理机操作系统自带上传工具吗？ 物理机操作系统默认没有安装上传下载工具。 如果用户有需求，可以自行安装rz/sz上传下载工具，或者使用对应的ftp/tftp等远程传输工具。 物理机的公共镜像是否存在Swap分区？ 存在。 在物理机的公共镜像中，会预先创建一个Swap分区。Swap分区是一种用于虚拟内存的特殊分区，当系统的物理内存（RAM）不足时，操作系统可以将一部分内存中的数据交换到Swap分区中，以释放物理内存供其他进程使用。 如何增加系统Swap交换分区的大小？ 要增加系统的Swap交换分区大小，可以按照以下步骤进行操作： 说明 在此之前，请确保您对系统进行备份，以防止意外情况造成数据丢失。 1. 使用以下命令查看当前系统的Swap分区信息： swapon show free h 2. 如果当前系统没有Swap文件，可以创建一个Swap文件。您可以选择在根目录下或者其他适合的目录创建Swap文件。 以在根目录下创建一个名为swapfile的2GB Swap文件为例： sudo fallocate l 2G /swapfile 3. 设置文件权限： sudo chmod 600 /swapfile 4. 将文件设置为Swap分区： sudo mkswap /swapfile 5. 启用Swap分区： sudo swapon /swapfile 6. 编辑/etc/fstab 文件并在末尾添加以下行，以在启动时自动加载Swap文件： /swapfile none swap sw 0 0 7. 如果您希望增加或减少Swap文件的大小，可以使用以下步骤： 禁用Swap文件： sudo swapoff /swapfile 调整Swap文件的大小： sudo fallocate l 4G /swapfile 将Swap文件设置为Swap分区并启用： sudo mkswap /swapfile sudo swapon /swapfile 8. 使用以下命令验证Swap分区是否正确设置： swapon show free h 说明 Swap分区的大小应根据您的系统配置和需求进行设置。过大的Swap分区可能会占用过多的磁盘空间，过小的Swap分区可能无法满足系统的需求。建议根据实际情况进行适当的调整。

黑产挖矿的特点 1.系统的脆弱越少，被植入挖矿概率就越低 只要提升系统的安全系数，可以攻破对应系统的挖矿病毒种类就会减少：不同挖矿病毒的横向能力往往是参差不齐的。例如：H2Miner挖矿病毒一般就只会通过ssh弱密码进行横向扩散。如果系统不存在ssh弱密码，就不会被该种病毒入侵。但HolesWarm、LemonDuck等挖矿病毒可以利用几十乃至近百种不同的漏洞横向自身。 所以只要提升系统的安全系数，可以攻破对应系统的挖矿病毒种类就会减少，系统中挖矿的概率也会减小。而且如果希望确保系统不中挖矿，则需要对系统的安全做持续的监控、运维。 2.隐蔽性高，进化快 由于不法分子的最终目的是将挖矿持久的留在系统中，所以会采用各种各样的手段确保挖矿病毒不被发现：包括但不限于，破坏系统自带的进程查看软件，让其不显示挖矿进程和cpu占用；限制自身只使用50%的cpu（仍会对业务产生较大影响）；在系统各处留下”不死马”，让自身很难被删除等。 同时，不法分子在不断分析安全软件，不断通过新技术绕过旧的检测逻辑。例如2020年之前，一种常见的检测逻辑是：检测进程是否和矿池ip通信。这种结合了威胁情报的检测可以有效针对挖矿病毒的变种。但是2021年后的一个大趋势是：挖矿病毒不直接和矿池通信了，而是通过访问各种各样的代理去连接矿池。这就导致该检测逻辑的可靠性下降。只能靠漏洞利用痕迹、行为特征等去进一步判断。 3.动态对抗 由于上面提到的特点2（挖矿病毒的隐蔽性高，进化快），挖矿病毒的检测往往是一件动态对抗的事情，理论上再巧妙精确的检测规则都有被绕过的可能。然后安全人员可能会去分析不法分子通过哪些行为特征进行的绕过，再去对这些绕过特征做检测，直到不法分子再次发明新的绕过姿势的检测绕过姿势，安全人员再对绕过姿势的检测绕过姿势进行检测.....这种对抗会一直持续。 即使所有规则都有被绕过的可能，但例如使用了多锚点的检测技术，往往能最大程度的确保系统不会存在未被发现的挖矿。多锚点就是对病毒的从入侵到横向的每个环节和特征，都去进行检测，可能中间会有4~7层检测逻辑。精心构筑的挖矿病毒绕过其中一层相对容易，但如果想绕过所有层的检测逻辑，是一件非常困难的事情。

前置条件 1. 使用前，您的租户账号需在天翼云存储控制台开通并创建相应的存储 ，详见++对象存储快速入门++、++并行文件服务快速入门++。 2. 已在本平台完成相关产品的委托授权。 操作说明 基础数据集统一走挂载模式，需要您提前在存储的管理面完成数据导入、记录路径等前置操作，您在本平台只需填写已有存储的路径，平台将在任务中自动挂载该路径。基础数据集的存储方式包括普通存储、智算存储与其他存储： 普通存储（ZOS）： 账号自有存储：指租户在天翼云官网同资源池下开通的对象存储，用于数据长期存储和备份，完成委托授权后您可在本平台直接使用。 平台共享存储：本平台赠予您体验的存储，默认集群额度为 300G，是所有用户共享的存储，您的用量受限且不支持扩容，超出用量后需自行前往对象存储购买自有存储。平台后续将逐渐废弃此类存储，建议您直接使用自有存储。 智算存储（HPFS）： 账号自有存储：指租户在天翼云官网同资源池下开通的HPFS存储，常用于大模型的开发和训练等数据密集性的高性能计算场景，完成委托授权后您可在本平台直接使用。如需使用开发机和训练任务功能，请提前将数据、模型、代码导入智算存储中。训练时需要与文件存储频繁交互，请确保存储状态可用且充足。 平台共享存储：您在本平台开通的共享存储，默认集群额度为 512 G，是所有用户共享的存储，您的用量受限且不支持扩容，超出用量后需自行前往HPFS购买自有存储。平台后续将逐渐废弃此类存储，建议您直接使用自有存储。 其他存储：天翼云的集群分为两类：天翼云自建集群、与合作伙伴共营的其他集群，其中，自建集群对应自有存储，其他集群对应其他存储。其他存储便是指其他集群中对应配置的存储。该存储与集群强相关，您在开通相应的集群后平台会自动打通与存储的关联，不需要进行委托授权步骤。 上述可使用的存储类型都与集群强相关，例如集群A支持自有ZOS、自有HPFS，集群B支持自有其他存储，您不能在集群B下使用自有ZOS。您可切换顶部集群查看该集群支持的存储类型，也可事先联系您的客户经理了解集群的存储类型支持情况。

清理“僵尸文件” 在主机中可能存在一部分文件，被标注为“deleted”，显示已被删除，但是仍在占据磁盘空间，且这部分文件不能用常用的查询文件命令查询到，您可以采用以下方法来查询并删除文件： 1. 以“root”用户登录弹性云主机，登录成功如图： 2. 在登录成功的弹性云主机中，首先安装lsof工具，lsof是一个列出当前系统打开文件的工具，使用 yum install lsof y命令来安装，回显信息如下图所示： 从图中可知，此台云主机中系统自带lsof工具，可直接使用。 3. 执行命令 lsof grep delete sort k7 rn more来查看此台云主机中僵尸文件的空间占用情况，具体操作及回显情况如下图： 4. 可以看到在本台云主机中，目前没有“僵尸文件”，当有“僵尸文件”时，需要您将其所在进程杀掉。您可以通过命令 lsof grep delete来显示进程号，并找出其中的”僵尸文件“进程号，使用kill 来结束进程，并释放空间。 清理Inode占用较大空间文件 当云主机确认磁盘分区空间还没有被用满，也确认没有“僵尸文件”的存在，可以考虑此台云主机中是否磁盘分区的Inode使用率过高，用户可以采用清理Inode占用空间较大文件的方法来处理此问题，具体步骤如下： 1. 以“root”用户登录弹性云主机，登录成功如图： 2. 查询Inode使用率，执行命令 df i，回显信息如下图： 3. 目前的“IUse%”数值都较小，当您发现您云主机中的“IUse%”值接近100%需要继续执行后续操作。 4. 执行命令 for i in /; do echo $i; find $i wc l; done 来分析当前云主机上根目录下的二级目录中都分别有多少个文件，回显信息如下图所示： 上图中，每一级目录下方代表的数字为此目录下的文件数，数字越大说明Inode占用越高，此示例中/usr目录下的文件数最多。因此，用户可查询/usr目录中二级目录的文件数，再次找出文件数最多的目录。以此类推，最终定位出占用Inode较大空间的文件及目录，根据业务需要来确认是否清理来释放空间。

本文为您介绍如何创建配备GRID驱动的Windows操作系统的GPU云主机。 准备工作 创建账号，以及完善账号信息。本教程创建的是按量付费实例。开通按量付费ECS资源时，您的天翼云账户余额（即现金余额）不得小于100.00元人民币。充值方式请参见充值方式请参见费用中心>账户充值。 可选：在创建弹性云主机时，如果您的账号在本地域没有创建VPC，天翼云会提供一个默认的VPC，如果您不想使用默认VPC，可以在本地域创建VPC。具体操作，请参见虚拟私有云>创建VPC、子网搭建私有网络。 操作步骤 步骤1：进入创建云主机页面 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 单击“服务列表>弹性云主机”。 3. 单击“创建云主机”，系统进入创建页。 步骤2：基础配置 1. 选择“计费模式”。 包年包月：一种预付费模式，即先付费再使用。一般适用于固定业务应用，例如网站服务。需要先支付包年包月资源账单，才能开始使用包年包月资源。 按量付费：一种后付费模式，即先使用再付费。一般适用于有业务变化的应用，例如临时扩展、临时测试。可以先开通并使用按量付费资源，系统在每个结算周期生成账单并从账户中扣除相应费用。 2. 选择“地域和可用区”，此处我们默认华东华东1。 3. 设置“实例名称”，长度为 2～63个字符。 4. 设置“主机名称”，长度为 2～15 个字符，允许使用大小写字母、数字或连字符（）。不能以连字符（）开头或结尾，不能连续使用连字符（），也不能仅使用数字。 5. 选择“CPU架构”。 6. 设置“规格”和“镜像”。 规格 镜像 备注 图形加速基础型GPU云主机 镜像类型选择“公共镜像”，选择所需的Windows操作系统及版本。公共镜像中默认安装GRID驱动及配套license 授权，无需单独安装。 驱动版本信息请参见NVIDIA驱动安装指引GPU云主机用户指南安装NVIDIA驱动 天翼云。 计算加速型GPU云主机PI7规格族 镜像类型选择“公共镜像”，选择预装GRID驱动的计费镜像：Windows2019DataCenterGRID13.2。 目前预装GRID驱动的计费镜像价格如下： 包月价格为220元/月 按需价格为0.46元/小时 7. 设置“存储”。 磁盘包括系统盘和数据盘。您可以为云主机添加多块数据盘，系统盘大小目前默认为40GB。

IAM控制台创建自定义策略 1.使用天翼云账号登入IAM控制台。 2.在左侧导航栏，选择 "策略管理" "创建自定义策略"。 3.输入策略名称，输入策略描述（可选），点击下一步。 4.设置策略内容，本文介绍使用可视化视图的方式设置，如果需要使用更灵活的JSON视图，请参考IAM文档。 效果：允许（允许策略中配置的权限），拒绝（拒绝策略中配置的权限） 云服务：搜索关键字“容器镜像服务” 操作：根据需求勾选需要配置的操作（即权限） 资源：具体见资源权限管控内容 条件：该配置参考具体IAM文档。 5. 点击保存，完成自定义策略的创建。 为子账户设置自定义权限策略 1. 使用天翼云账号登入IAM控制台。 2. 在左侧导航栏，选择用户授权子账户。 3. 选择操作 查看，进入用户界面，选择权限管理标签页，选择个人权限的新增权限。 4. 搜索框输入上一步设置的自定义权限策略名称，勾选上一步创建的自定义权限策略。 5. 点击“下一步”，由于CRS自定义权限为全局服务资源，无需设置资源池。 6. 点击 “确定”，即可完成为子账户授权。 CRS资源权限管控 使用IAM的JSON视图创建自定义策略时，可以通过设置资源字段来实现细粒度的资源权限管控。

本文为您介绍什么是资源编排ROS。 资源编排ROS（ROS，Resource Orchestration Service）是基于Terraform（HCL + Provider）的新一代云资源全生命周期管理平台，您只需通过结构化模板集中定义各类云资源（例如弹性云主机、虚拟私有云、弹性IP等），即可自动、安全、高效地实现“一键创建与管理”云资源。借助 Terraform 的底层引擎能力，ROS 能够自动解析资源依赖关系、校验配置合规性，并通过预置的安全策略规避权限风险与配置冲突，最终实现从资源创建、关联配置到后期扩缩容、版本迭代的 “一键化” 操作。 资源编排ROS聚焦自动化批量创建云资源场景，全面践行“基础设施即代码”理念，帮助用户大幅降低人工操作失误率，同时支持资源的批量管理与自动化运维，让企业在复杂云架构下也能轻松实现资源的高效调度与精益化管理，助力用户高效、安全、一致性交付和运维天翼云服务。 为什么选择资源编排ROS 资源编排ROS可以帮助您高效、安全、轻松地管理一组资源。 强大的Terraform生态：完全兼容Terraform，确保您的现有资源栈无缝迁移。 极简自动化部署：通过模板化编排和自动化引擎，您只需“一次设计”即可“多次部署”。 安全合规：内置评估审核与合规性校验，让变更可知、可控、可追溯。 成本优化：模板可一键复用，变更前可预测资源与费用变更，助力企业降本增效。 友好交互： 企业级可视化交互和丰富API接口。

专有宿主机为您提供优质的服务体验,本文带您了解专有宿主机的产品优势。 企业级安全与合规 专有宿主机上上独享宿主机物理资源，包括CPU、内存、网卡等物理资源，获得更高安全性。每台宿主机具备全局唯一的硬件标识（机器码），能够满足特定行业或企业内控中更为严格的安全合规与审计规范要求。 极致性能与稳定性 在共享宿主机环境中，您的云主机实例可能受到其他租户资源使用高峰的影响，导致性能波动。专有宿主机可以彻底消除了这一问题，保证您的业务负载是物理服务器上唯一的负载源，性能表现完全由您的业务特性决定，不会与其他用户发生的资源争抢行为，性能可预测。 灵活与可靠的部署 用户可在指定的专有宿主机上精确部署云主机实例，实现对计算资源物理位置的完全掌控。同时，系统提供自动部署功能，可根据系统预设策略自动选择最优宿主机，能够兼顾资源利用率与性能隔离需求。结合控制台便捷的资源创建与删除操作，以及镜像与备份服务提供的快速环境部署与恢复能力，提供灵活的编排与控制能力。 完整的资源可见性与拓扑管理 专有宿主机提供清晰的云主机宿主机资源映射视图，用户可直观查看云主机与底层专有宿主机的归属关系。帮助用户从基础设施层到应用层的全链路可视化管理，为运维决策与故障排查提供了关键依据。

云硬盘备份产品为您提供优质的服务体验,本文带您了解云硬盘备份的产品优势。 灵活 可任意选择不同类型、不同云主机下的云硬盘进行备份，您可以恢复数据至源云硬盘，也可以使用备份创建新盘，实现数据总体的迁移与重建。支持手动创建备份和自动创建备份两种备份方式。自动备份策略可按需配置，提供全天24小时备份时段选择，支持按天、周等的周期策略设置，一次定义，全托管备份流程。 经济 可按需选择单个云硬盘数据进行备份，在满足用户自定义备份数据的需求下，降低备份大小。备份采用首次全量，后续增量的方式进行备份，任一增量备份都可以快速、方便地将云硬盘的数据恢复至备份所在时刻的状态。为用户节省存储库空间，减少备份的空间占用。 简单 友好的可视化界面，健全的操作功能，用户仅需三步即可完成备份创建，相比本地自行备份方式，流程操作更加简单。 可靠 创建存储库时，支持配置数据冗余策略为单AZ存储或多AZ存储，多AZ存储可以将备份副本存储在同一地域的多个可用区（AZ）中，实现多级可靠性保障。 备份数据存储在对象存储（ZOS）中，基于ZOS的高持久性存储数据，数据持久性与ZOS持平，高达99.9999999999%（12个9） ，支持系统盘和数据盘在线备份和恢复的能力，保障备份数据安全。

本节主要介绍相关术语解释 工作负载 工作负载即Kubernetes对一组Pod的抽象模型，用于描述业务的运行载体，包括Deployment、Statefulset、Job、Deamonset等。 无状态工作负载（即kubernetes中的“Deployments”）：Pod之间完全独立、功能相同，具有弹性伸缩、滚动升级等特性。如：nginx、wordpress。 有状态工作负载（即kubernetes中的“StatefulSets”）：Pod之间不完全独立，具有稳定的持久化存储和网络标示，以及有序的部署、收缩和删除等特性。如：mysqlHA、etcd。 实例（Pod） Pod是 Kubernetes 部署应用或服务的最小的基本单位。一个Pod 封装多个应用容器（也可以只有一个容器）、存储资源、一个独立的网络 IP 以及管理控制容器运行方式的策略选项。 金丝雀发布 又称灰度发布，是迭代的软件产品在生产环境安全上线的一种重要手段。在生产环境上引一部分实际流量对一个新版本进行测试，测试新版本的性能和表现，在保证系统整体稳定运行的前提下，尽早发现新版本在实际环境上的问题。 蓝绿发布 蓝绿发布提供了一种零宕机的部署方式。不停老版本，部署新版本进行测试，确认运行正常后，将流量切到新版本，然后老版本同时也升级到新版本。始终有两个版本同时在线，有问题可以快速切换。 流量治理 应用流量治理提供可视化云原生应用的网络状态监控，并实现在线的网络连接和安全策略的管理和配置，当前支持HTTP、TCP流量下的路由规则、负载均衡、会话保持、连接池管理、RBAC等能力。

本页介绍如何通过数据管理服务DMS登录DRDS数据库实例。 操作场景 创建DRDS实例后，可以通过登录数据管理服务DMS对实例进行数据管理、用户授权、SQL审计、数据可视化等管理操作。 前提条件 已购买DRDS实例，具体操作，请参见步骤一：购买DRDS实例。 已购买MySQL实例，具体操作，请参见步骤二：购买MySQL实例。 已为DRDS实例关联MySQL实例，具体操作，请参见步骤三：DRDS关联MySQL实例。 已创建登录数据库实例的用户，具体操作，请参见创建用户。 已为用户设置权限，具体操作，请参见设置权限。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 选择如下任意一种方式，进入数据管理服务DMS。 方式一：在实例列表上方，单击进入数据管理服务，进入到DMS的首页，根据提示信息填写相关信息，即可进入DMS控制台。 方式二：在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息 页面。单击登录数据库，即可进入该实例的DMS登录页面。 方式三：在实例列表中，找到目标实例，在操作 列选择更多 > 登录数据库，即可进入该实例的DMS登录页面。 4. 对目标实例的数据库进行管理。

安全体检权限及授权项 策略支持的操作与授权项相对应，授权项列表说明如下： 权限：允许或拒绝IAM用户某项操作。 授权项：授权操作对应的权限三元组，创建自定义策略时，支持可视化JSON视图写入权限三元组实现策略配置。 权限类型：授权操作对应的读写类型。 权限 授权项 权限类型（读/写） 权限描述 安全体检管理者admin 安全体检查看者viewer 编辑试用记录 ctnsc:trialRecord:edit 写 编辑试用记录 √ × 查询试用记录 ctnsc:trialRecord:query 读 试用记录分页查询 √ √ 保存试用资源 ctnsc:trialResource:add 写 保存使用资源 √ × 查询安全体检报告 ctnsc:report:query 读 查询安全体检报告数据 √ √ 下载安全体检报告 ctnsc:report:download 读 下载安全体检报告 √ √ 创建安全体检任务 ctnsc:checkupTask:add 写 创建体检任务 √ × 查询安全体检任务 ctnsc:checkupTask:query 读 查询安全体检任务列表 √ √ 通知移除通知人 ctnsc:noticeReceiver:delete 写 通知移除通知人 √ × 通知查询分组 ctnsc:noticeGroup:query 读 通知查询分组 √ √ 通知添加通知人 ctnsc:noticeReceiver:add 写 通知添加通知人 √ × 通知查询通知人 ctnsc:noticeReceiver:query 读 通知查询通知人 √ √ 查询用户IP ctnsc:userIp:query 读 查询用户IP √ √ 体检IP连通性验证 ctnsc:checkupIp:ping 读 体检IP连通性验证 √ √ 删除体检IP ctnsc:checkupIp:delete 写 删除体检IP √ × 添加体检IP ctnsc:checkupIp:add 写 添加体检IP √ × 查询体检IP ctnsc:checkupIp:query 读 查询体检IP √ √ 查询用户资源 ctnsc:userResource:query 读 查询用户资源 √ √